De Oostenrijkse privacy toezichthouder, de Datenschutz Behörde (DSB) rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de Algemene verordening gegevensbescherming (AVG) te voldoen.

Door Google Analytics te gebruiken worden met analytische cookies persoonsgegevens van websitebezoekers verwerkt. Dat heeft gevolgen voor hun privacy. Daarom moeten websites die Google Analytics gebruiken in principe zowel voldoen aan de Telecommunicatiewet (bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG).

De DSB oordeelde  nu dat door het gebruik van Google Analytics persoonsgegevens als gebruikersidentificatie en IP adressen worden doorgegeven aan Google LLC in de Verenigde Staten en dat dit in strijd is met hoofdstuk V van de AGV en met het arrest van het HvJ EU van 16 juli 2020, C-11/18, Schrems II. Problematisch is vooral dat Google in de VS onder toezicht staat van de Amerikaanse inlichtingendiensten. Persoonsgegevens die via Google Analytics zijn verkregen kunnen zo bij die inlichtingendiensten belanden. Direct na de Schrems II uitspraak diende privacy organisatie None of Your Business (NOYB), opgericht door Max Schrems 101 klachten in bij verschillende Europese privacy toezichthouders. De DSB heeft nu als eerste een oordeel over één van deze klachten geveld.

Twee van de klachten zijn ingediend bij de Nederlandse Autoriteit Persoonsgegevens (AP) die deze op dit moment onderzoekt. Na afronding van dat onderzoek, begin 2022, zal de AP een standpunt innemen over de vraag of Google Analytics is toegestaan of niet.

Op de website van AP is een Handleiding privacyvriendelijk instellen van Google Analytics te vinden. De AP laat deze handleiding inmiddels voorafgaan door de waarschuwing dat hij op dit moment doende is te onderzoeken of gebruik van Google Analytics überhaupt is toegestaan. De Oostenrijkse DSB oordeelde in ieder geval dat het treffen van door de privacytoezichthouder aanbevolen maatregelen om Google Analytics privacyvriendelijk in te stellen niet voldoende is nu er ook daarna nog steeds sprake is van persoonsgegevens doordat gegevens gecombineerd kunnen worden en tot een persoon te herleiden zijn.

Laatste nieuws